מידע על תוכן האבטחה של עדכון Mac OS X 10.4.7

מסמך זה מתאר את תוכן האבטחה של עדכון Mac OS X 10.4.7, הניתן להורדה ולהתקנה באמצעות עדכוני תוכנה או מההורדות של Apple.

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שמתבצעת חקירה מלאה בנושא ויש גרסאות חדשות או תיקונים זמינים. למידע נוסף בנושא 'אבטחת מוצר של Apple', עיינו באתר האינטרנט אבטחת מוצר של Apple.

למידע על 'מפתח PGP לאבטחת מוצר של Apple', ראו "כיצד להשתמש במפתח PGP לאבטחת מוצר של Apple".

היכן שניתן, מזהי CVE משמשים כסימוכין לפגיעויות לצורך קבלת מידע נוסף.

כדי ללמוד על עדכוני אבטחה נוספים, עיינו בנושא "עדכוני אבטחה של Apple."'

עדכון Mac OS X v10.4.7

  • AFP

    CVE-ID‏: CVE-2006-1468

    זמין עבור: Mac OS X v10.4.6‏, Mac OS X Server v10.4.6

    השפעה: שמות קבצים ותיקיות עלולים להיחשף למשתמשים בלתי מורשים

    תיאור: בעיה בשרת AFP גורמת לכך שתוצאות חיפוש כוללות שמות של קבצים ותיקיות שלמשתמש המבצע את החיפוש אין גישה אליהם. כתוצאה מכך, מידע עלול להיחשף אם השמות עצמם הם מידע רגיש. עדכון זה מטפל בבעיה בכך שהוא מוודא שתוצאות החיפוש יכללו רק פריטים שיש למשתמש הרשאת גישה אליהם. בעיה זו אינה משפיעה על מערכות לפני Mac OS X גרסה 10.4.

  • ClamAV

    CVE-ID‏: CVE-2006-1989

    זמין עבור: Mac OS X Server v10.4.6

    השפעה: כאשר סריקת וירוסים מוגדרת להתעדכן באופן אוטומטי, שיקוף מסד נתונים זדוני עלול לגרום להפעלת קוד שרירותי

    תיאור: כתוצאה מבעיה בעדכון האוטומטי של מסד נתוני הווירוסים עלולה להיווצר גלישת חוצץ מבוססת ערימה. שיקוף מסד נתונים ClamAV זדוני או מזויף עלול להיות בעל יכולת לגרום להפעלת קוד שרירותי עם הרשאות של ClamAV. השירות 'דואר', סריקת הווירוסים והעדכונים האוטומטיים של מסד נתוני הווירוסים מושבתים כברירת מחדל. עדכון זה מטפל בבעיה על ידי שילוב ClamAV 0.88.2. בעיה זו אינה משפיעה על מערכות שקדמו ל-Mac OS X v10.4.

  • ImageIO

    CVE-ID‏: CVE-2006-1469

    זמין עבור: Mac OS X v10.4.6‏, Mac OS X Server v10.4.6

    השפעה: הצגת תמונת TIFF בעלת מבנה זדוני עלולה לגרום לקריסת יישום או להפעלת קוד שרירותי

    תיאור: תוקף יכול להפעיל גלישת חוצץ מבוססת ערימה על ידי יצירה קפדנית של תמונת TIFF פגומה שעלולה לגרום לקריסת יישום או להפעלת קוד שרירותי. עדכון זה מטפל בבעיה על ידי ביצוע אימות נוסף של תמונות TIFF. בעיה זו אינה משפיעה על מערכות לפני Mac OS X גרסה 10.4.

  • launchd

    CVE-ID‏: CVE-2006-1471

    זמין עבור: Mac OS X v10.4.6‏, Mac OS X Server v10.4.6

    השפעה: משתמשים מקומיים עשויים לקבל הרשאות ברמה גבוהה יותר

    תיאור: נקודת תורפה של מחרוזת פורמט בתוכנית launchd של setuid עלולה לאפשר למשתמש מקומי מאומת להפעיל קוד שרירותי עם הרשאות מערכת. הבעיה קיימת במתקן הרישום של launchd. עדכון זה מטפל בבעיה באמצעות ביצוע אימות נוסף בעת רישום הודעות. בעיה זו אינה משפיעה על מערכות שקדמו ל-Mac OS X v10.4. תודה ל-Kevin Finisterre מ-DigitalMunition שדיווח על הבעיה.

  • OpenLDAP

    CVE-ID‏: CVE-2006-1470

    זמין עבור: Mac OS X v10.4.6‏, Mac OS X Server v10.4.6

    השפעה: תוקפים מרוחקים עלולים לגרום לקריסת שרת Open Directory

    תיאור: על ידי יצירה קפדנית של בקשת LDAP, ייתכן שתוקף מרוחק יוכל להפעיל קביעה בשרת OpenLDAP שתגרום למניעת שירות. העדכון מטפל בבעיה באמצעות ביטול הבקשה הלא חוקית. בעיה זו אינה משפיעה על מערכות שקדמו ל-Mac OS X v10.4. תודה לצוות המחקר של Mu Security שדיווח על הבעיה.

Published Date: